自主可控网络安全技术 框架-标准文本.pdf

自主可控网络安全技术框架

1范围

本文件给出了自主可控网络安全的框架，包括通用要求、自主安全防护、外部安全保障、安全事故

应对以及框架模块间的协同关系。

本文件适用于指导组织基于自主可控信息技术产品构建和运营网络安全体系，也可供自主可控信息

技术产品研制单位、测评单位、管理机构等相关方参考使用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20272信息安全技术操作系统安全技术要求

GB/T20273信息安全技术数据库管理系统安全技术要求

GB/T20988信息安全技术信息系统灾难恢复规范

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T24363信息安全技术信息安全应急响应计划规范

GB/T25069信息安全技术术语

GB/T29765信息安全技术数据备份与恢复产品技术要求与测试评价方法

GB/T30283信息安全技术信息安全服务分类与代码

GB/T31722信息技术安全技术信息安全风险管理

GB/T35273信息安全技术个人信息安全规范

GB/T36630.1信息安全技术信息技术产品安全可控评价指标第1部分：总则

GB/T36957信息安全技术灾难恢复服务要求

GB/T38636信息安全技术传输层密码协议（TLCP）

GB/T38645信息安全技术网络安全事件应急演练指南

GB/T43269信息安全技术网络安全应急能力评估准则

GB/T29829-2022信息安全技术可信计算密码支撑平台功能与接口规范

GB/T40650-2021信息安全技术可信计算规范可信平台控制模块

GB/T29827-2013信息安全技术可信计算规范可信平台主板功能接口

GB/T37935-2019信息安全技术可信计算规范可信软件基

GB/T29828-2013信息安全技术可信计算规范可信连接架构

GB/T43698网络安全技术软件供应链安全要求

GM/T0002SM4分组密码算法

GM/T0003SM2椭圆曲线公钥密码算法

GM/T0004SM3密码杂凑算法

GM/T0005随机性检测规范

T/CESA9281-2020信息技术应用创新固态硬盘通用技术规范

YD/T1826-2008网络安全应急处理小组建设指南

YD/T1799-2008网络与信息安全应急处理服务资质评估方法

1

3术语和定义

GB/T25069中界定的以及下列术语和定义适用于本文件。

3.1

3.2自主可控autonomousandcontrollable

信息技术产品的核心技术由生产厂商自主掌握，且供应链不受其他国家的控制，符合信息技术产品

安全可控评价标准的属性。。

3.3

3.4安全可控controllabilityforsecurity

信息技术产品具备的保证其应用数据支配权、产品控制权、产品选择权等不受损害的属性。

[来源:GB/T36630.1-2018,3.2]

3.5

攻击面管理attacksurfacemanagement

持续发现、分析、监控和评估内部和外部所有资产以发现潜在暴露面、攻击向量和数字风险，并进

行优先排序、响应处置的过程。

3.6

3.7自主可控网络autonomousandcontrollablecybersystem

由自主可控的信息技术产品构成的计算机应用系统，包括终端、服务器、云、工控系统、物联网系

统等计算平台，以及与计算平台关联的基础硬件、基础软件和应用软件等资源。

3.8

3.9网络弹性cyberresilience

系统能够预测、抵御、恢复、适应对抗条件、压力、攻击或者破坏的能力。

3.10

3.11内置安全build-insecurity

自主可控的网络安全